使用访问控制列表控制用户登录.doc

访问控制列表 环境：真实设备H3C的防火墙，一台交换机，两台PC 要求： 现有网络设备一台路由器、一台防火墙firewall和一台三层交换机，要求任选一台设备模拟只有管理员{ip自定义}在上班时间{08:00-20:00）可以telnet，ssh，http。 网络拓扑图： 使用亿图工具绘制出网络拓扑图，如图1所示： 图1：网络拓扑图 PC1是管理员按照要求所说PC1在上班时间{08:00-20:00）可以telnet、ssh、http到防火墙上，而PC2在任何时候都不可以telnet、ssh、http到防火墙上，PC1和PC2的IP地址配置如图上所示。 设备实施： 防火墙的配置 //进入配置模式 H3Csystem-view System View: return to User View with Ctrl+Z. [H3C]sys //修改名称 [H3C]sysname firewall [firewall]int eth0/4 [firewall-Ethernet0/4]ip add //配置IP地址 [firewall-Ethernet0/4]ip address 24 [firewall-Ethernet0/4] %Apr 22 21:43:19:019 2014 firewall IFNET/4/UPDOWN:Line protocol on the interface Ethernet0/1 is UP //接口eth0/1加入可信区域 [firewall]firewall zone untrust [firewall-zone-untrust]add interface eth0/4 //配置控制列表 [firewall]acl ? counter Statistics information of acl name Specify a flow object //基于编号 number Specify a numbered acl //基于名称 [firewall]acl number 2000 match-order ? auto Auto order //匹配顺序自动 config Config order //配置顺序 [firewall]acl number 2000 match-order auto //匹配选择自动 //配置管理员访问时间段在工作日08:00-20:00 [firewall]time-range acl 08:00 to 20:00 working-day //配置ACL允许管理员访问规则 [firewall-acl-basic-2000]rule permit time-range acl source 37 //配置ACL规则拒绝所有 [firewall-acl-basic-2000]rule 20 deny source any //在接口上应用ACL [firewall-Ethernet0/1]firewall packet-filter 2000 inbound //配置管理员可以tenlet和ssh防火墙，即在虚拟链路上应用ACL [firewall]user-interface vty 0 4 [firewall-ui-vty0-4]acl 2000 in [firewall-ui-vty0-4]acl 2000 inbound //配置管理员访问http [firewall]ip http acl 2000 测试验证 在PC1终端上ssh防火墙，结果如图2所示 图2：ssh到防火墙 在PC1上telnet到防火墙，结果如图3所示： 图3：telnet到防火墙上 在PC1上使用浏览器访问防火墙，结果如图4所示： 图4：使用浏览器访问防火墙 在PC2上telnet到防火墙，结果如图5所示： 图5：在PC2上telnet防火墙 在PC1上使用浏览器访问防火墙，结果如图6所示：